通过下载站传播的匿影僵尸网络分析

时间 :  2022年06月24日  来源:  安天CERT

1.概述

近期,安天CERT监测到匿影僵尸网络正在利用软件下载站“微当下载”进行传播,目前我国已有近两千台设备受其感染。

攻击者将恶意代码伪装成多个实用软件上传到微当下载站,软件被受害者下载并执行后会创建一个服务项,功能为从指定C2服务器下载后续攻击载荷。该载荷会尝试注入到其它进程并继续下载新的攻击载荷,新载荷功能为利用漏洞尝试横向传播,并在入侵成功的计算机内创建一个计划任务,实现持久化驻留。

匿影僵尸网络首次被发现于2019年3月,早期利用永恒之蓝漏洞传播挖矿木马,而后也开始传播勒索软件[1]、窃密木马。匿影僵尸网络为了躲避安全软件检测,攻击过程中下载的恶意载荷均不落地,直接在内存中执行。本次捕获的匿影僵尸网络变种目前除了横向传播外,暂未发现其它恶意功能,推测其当前处于扩散阶段,为了减少被发现的可能性,故未下发其它类型的恶意代码。由于攻击流程中的恶意代码均通过网络下载获取,因此攻击者可随时更改攻击载荷(如勒索、挖矿、窃密等不同目的的攻击载荷),给受害者造成更大损失。

2.样本对应的ATT&CK映射图谱


样本对应的技术特点分布图:

图2-1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表2-1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

初始访问

入侵供应链

通过下载站攻击

执行

利用命令和脚本解释器

利用PowerShell脚本

执行

诱导用户执行

诱导用户执行

持久化

创建或修改系统进程

创建服务

持久化

利用计划任务/工作

创建计划任务

防御规避

反混淆/解码文件或信息

反混淆/解码恶意代码

防御规避

隐藏行为

隐藏行为

防御规避

混淆文件或信息

混淆恶意代码

防御规避

进程注入

进程注入

防御规避

执行签名的二进制文件代理

利用nssm执行

发现

发现文件和目录

发现文件和目录

发现

发现进程

发现进程

发现

发现远程系统

扫描远程系统

横向移动

利用远程服务漏洞

扫描远程服务漏洞

命令与控制

使用应用层协议

使用HTTP协议

命令与控制

创建多级信道

使用多层网络载荷

3.防护建议


为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 提升主机安全防护能力

(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2 提高网络安全防护意识

(1)建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载;

(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的有效查杀。

图3-1 安天智甲为用户终端提供有效防护

4.攻击概览


4.1 攻击流程图

攻击者将恶意代码伪装成多个实用软件上传到微当下载站,软件被受害者下载并执行后会创建一个服务项,功能为从指定C2服务器下载后续攻击载荷。该载荷会尝试注入到其它进程并继续下载新的攻击载荷,新载荷功能为利用漏洞尝试横向传播,并在入侵成功的计算机内创建一个计划任务,实现持久化驻留。

图4-1 攻击流程图

4.2 具体攻击流程

攻击者将恶意代码伪装成DirectX修复工具、图吧工具箱等实用软件,上传到软件下载站“微当下载”。

图4-2 “微当下载”下载界面

下载后会得到一个名为“DirectX.Repair_4.1.0.30770_Enhanced.Edition”的压缩包。为了使受害者放松警惕,压缩包中除了伪装成修复工具的恶意代码外,还包括更新日志、技术文档和网站链接等常见配套文件。

图4-3 压缩包中的内容

通过查看文件详细信息,其原始文件名为“加入任务计划.exe”,并且文件大小仅为3.08MB,而网站上标出的软件大小则为116.58MB。

图4-4 伪装成修复工具的恶意代码属性

5.样本分析


5.1 样本标签

表5-1 二进制可执行文件

病毒名称

Trojan/Win64.ChildHaveTrojan

原始文件名

加入任务计划.exe

MD5

E5EC937968841A68872AC135039B3914

处理器架构

Intel 386 or later, and compatibles

文件大小

3.08 MB (3,229,696字节)

文件格式

BinExecute/Microsoft.EXE[:X64]

时间戳

2022-03-10 06:34:09 UTC

数字签名

加壳类型

编译语言

C/C++

VT首次上传时间

2022-03-27 14:35:05 UTC

VT检测结果

26/70

5.2 详细分析

样本运行后从资源节读取并释放C:\Windows\nssm.exe(一款名为NSSM的第三方系统服务管理工具),还会启动正常的DirectX修复工具作为伪装。

图5-1 释放正常文件和第三方工具

使用释放的NSSM工具创建服务项“nssmsevr”,服务的功能为调用PowerShell下载并执行后续载荷。

图5-2 创建服务项

目前,该链接会重定向到http://win.yearidper.com/per.txt,其中包含的代码经过多层混淆编码处理,功能为从服务器下载两个伪装为图片的恶意载荷。

图5-3 服务项功能

base64.jpg实际上是一个dll文件,被powershell.jpg(伪装成图片的开源PE文件加载器)加载到PowerShell或其他进程中执行。

图5-4 解码后的powershell.jpg

加载后会依次尝试创建svchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe等多个进程并镂空注入后续攻击载荷。

图5-5 镂空注入进程

注入的攻击载荷主要功能为横向传播,除了使用内部嵌入的多个用于漏洞扫描、口令爆破的脚本外,还会下载其它攻击脚本并执行。

图5-6 样本中嵌入的攻击脚本

部分攻击脚本会释放到用户公用路径下。

图5-7 释放的攻击脚本

入侵系统后会植入一个名为shell的计划任务,每隔一段时间调用PowerShell下载并执行http://shell.comenbove.com的内容。

图5-8 被横向入侵成功的设备中植入名为shell的计划任务

由于攻击流程中的恶意代码均通过网络下载获取,因此攻击者可随时更改攻击载荷(如勒索、挖矿、窃密、横向攻击等不同目的的攻击载荷),给受害者造成更大损失。

6.总结


2022年315晚会曝光了软件下载网站强制弹出、捆绑安装、诱骗下载等乱象[2],众多涉及到的下载站立即下架了原有的“高速下载”等功能,但这并不代表整改之后下载站上的资源都是绿色健康的。例如在本次攻击活动中,匿影僵尸网络伪装成多个实用软件上传到微当下载站。用户一旦通过搜索引擎检索此类工具,即有可能下载并执行伪装好的恶意代码。用户应时刻保持警惕,建议使用官方网站下载正版软件,如无官方网站建议使用可信来源进行下载,并在下载完成后第一时间采用终端防御系统实施安全性检测,不轻易打开未经安全检测的压缩包文件或运行未经安全检测的可执行程序。

7.IoCs


*.comenbove.com

*.yearidper.com

4A7E1E20EB9EA62C01127BC9888BD775

2A871079CD6F8D845DE0554A6BA29DDF

2D738CE26F15190F1A2050FDA869C59A

5B8087006BB5E47388A0F083BDDC7198

00DB906A48D942ACAB0CAEAB370BAB00

1C7E1255E61295EB0E05A8101A597C55

6F2B43EE7E9F9486D45AD930D4ECE2B4

F972136743F1C8491CA09C668C2C99A9

BC5E57D6F8ED4EED377C85855C3DE26E

23651947A42FB14356182045660E71C1

44921906B7DB560B1FCFC08BCE4C21BE

DBEE63F0F801324D3106A746137436B6

DA8439E2AD085F320429F1CAF3D1D1E5

往期回顾:

[1] 针对WannaRen勒索软件的梳理与分析
https://www.antiy.cn/research/notice&report/research_report/20200409.html
[2] [2] [2022年3·15晚会]如此捆绑太无赖
https://315.cctv.com/